Friendly Captcha vs. hCaptcha: Alternativen zu Google reCAPTCHA
Spam-Bots, die Formulare automatisiert und massenhaft mit sinnlosen Anfragen überschwemmen, sind eine Plage für die Betreiber von Websites und Onlineshops. In diesem Beitrag werfen wir einen Blick auf wirksame Lösungen gegen Formular-Spam und legen dabei besonderes Augenmerk auf die Aspekte Datenschutz, User Experience (UX) und Barrierefreiheit.
Inhaltsverzeichnis
Wofür ist ein CAPTCHA wichtig?
Onlineshops werden permanent von Spam-Bots attackiert: Kontaktformulare, die von Spam-Anfragen geflutet werden und immer wieder von automatisierten Bots ausgelöste Fake-Bestellungen im Backend. Hacker entwickeln immer intelligentere Bots, um gängige Sicherheitsmaßnahmen zu umgehen. Um ihnen wirksam das Handwerk zu legen, müssen alle Formulare im Shop mit einem leistungsfähigen Schutzmechniasmus ausgestattet werden, einem CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart, das heißt: vollautomatisierter Test für die Mensch-Maschine-Unterscheidung). Weltweit am häufigsten im Einsatz ist Googles Lösung reCAPTCHA. Aber – insbesondere in den Mitgliedstaaten der Europäischen Union – ist die Nutzung dieses kostenlosen Dienstes problematisch.
Was ist problematisch an Googles reCAPTCHA?
Mit reCAPTCHA hat Google – wie in vielen anderen Bereichen auch – eine technisch ausgereifte Lösung kostenlos bereitgestellt und sich damit die Marktführerschaft gesichert. Das weltweit am häufigsten eingesetzte CAPTCHA war, ist und bleibt Googles reCAPTCHA. Inzwischen mehren sich jedoch Bedenken und Kritik – auch dieses Muster ist bereits im Zusammenhang mit anderen Google Produkten und Diensten (etwa Google Analytics oder Google Fonts) bekannt. Wie so oft entzündet sich auch in diesem Fall ein Großteil der Kritik an datenschutzrechtlichen Fragen. Außerdem ist Googles reCAPTCHA je nach eingesetzter Version auch im Hinblick auf UX und Barrierefreiheit problematisch.
Google reCAPTCHA und Datenschutz
Wenn ein Formular in einem Onlineshop mit Sitz in Deutschland oder einem anderen EU-Mitgliedsstaat mithilfe von Google reCAPTCHA gegen Spam-Bots geschützt ist, hat sich zwar das Spam-Problem erledigt, aber dafür steht ein neues im Raum: Nach herrschender Lehre verstößt der Einsatz von Google reCAPTCHA gegen deutsches und europäisches Datenschutzrecht. Der Grund: Unmittelbar beim Aufruf einer Seite, auf der sich ein Formular mit reCAPTCHA befindet, werden schon beim Laden des Dienstes Cookies gesetzt und es wird eine Anfrage an Server von Google gesendet. Darin enthalten ist unter anderem auch die IP-Adresse des Nutzers, die im Zusammenhang mit den übrigen übertragenen Daten als personenbezogen zu werten ist. Es werden also personenbezogene Daten an einen Dritten (Google) mit Sitz in einem datenschutzrechtlich unsicheren Drittstaat (USA) übertragen. In welcher Form und zu welchen Zwecken die Daten dann weiterverarbeitet werden, wird von Google nicht transparent dargestellt. Das ist mit der Datenschutzgrundverordnung (DSGVO) und dem Schrems-II-Urteil des EuGH von 2020 nicht vereinbar.
Das Setzen der Cookies und die Übertragung der Daten erfolgen automatisch beim Aufruf der Seite, wofür zuvor allerdings eine freiwillige Einwilligung im Sinne des TTDSG erteilt worden sein müsste. Das heißt: reCAPTCHA darf nur dann in das Formular eingebunden werden, wenn der Nutzer dem ausdrücklich – und zwar freiwillig – zugestimmt hat. Wer kein reCAPTCHA möchte, müsste also nach dem abgelehnten Opt-in Formulare ohne den Spam-Schutz angezeigt bekommen – oder gar keine Formulare. Aber welcher Shopbetreiber will den Schutz vor Spam-Bots so schwach gestalten, dass er mit einem einzigen Klick auszuhebeln ist? Und wer will schon allen Besuchern, die Google reCAPTCHA ablehnen, die Möglichkeit nehmen, im Checkout das Bestellformular abzusenden?
Google reCAPTCHA ist demnach für den Einsatz in einem Onlineshop im Einklang mit EU-Datenschutzrecht nicht geeignet. Da hilft es auch nicht, dass es in den aktuellen Versionen zumeist benutzerfreundlich und barrierefrei als Ein-Klick-Lösung einsetzbar ist und bis zu einer Million Anfragen im Monat sogar völlig kostenfrei angeboten wird. Wer reCAPTCHA in einem Onlineshop, einer Website oder einem Blog einsetzt, muss sich dringend nach einer Alternative umsehen, um keine Abmahnungen zu riskieren.
Welche empfehlenswerten Alternativen zu reCAPTCHA gibt es?
Lösungsansätze zum Eindämmen von Formular-Spam gibt es viele. Einer der ältesten Tricks ist der sogenannte Honeypot, ein entsprechend präpariertes, unsichtbares Formularfeld, das Bots (und nur Bots) in ihrem automatisierten Eifer glatt mit ausfüllen – um sich so zu entlarven. Schnell waren viele Bots in der Lage, einen Bogen um solche Fallen zu machen. Je nach eingesetztem System gab es dann – oft in Verbindung mit Honeypots – unterschiedliche Lösungen zur Spam-Abwehr im Frontend: Akismet in WordPress, die Auswertung der während des Ausfüllens verstrichenen Zeit in TYPO3, Filter für bestimmte Spam-typische Worte und natürlich die grafisch verfremdete Ausgabe von Zeichenketten wie mit den Bordmitteln von Shopware.
Je ausgefeilter die Methoden, desto cleverer wurden die Spam-Bots. Und während die Erkennung von zufällig generierten, verzerrt und verfremdet dargestellten Zeichenketten noch am besten funktioniert, stellt sie bisweilen auch Menschen mit voller Sehkraft vor schier unlösbare Rätsel. Wer mit eingeschränkter Sehkraft eine solche Aufgabe lösen soll, hat ohne fremde Hilfe oftmals keine Chance. Und für alle gilt: Die UX leidet ganz erheblich, wenn sich ein endlich vollständig ausgefülltes Formular schließlich erst nach drei Entzifferungs-Versuchen und viel umständlichem Getippe absenden lässt. Und das ist im Checkout eines Onlineshops ein besonders sensibler Punkt: Hier – gewissermaßen auf der Ziellinie im Bestellvorgang – sollte nun wirklich kein Händler mehr Kaufabbrüche riskieren.
An dieser Stelle war Google reCAPTCHA für viele die Rettung – bis sie vom Thema Datenschutz eingeholt wurden. Mittlerweile gibt es glücklicherweise aber leistungsfähige Alternativen zu Google reCAPTCHA. Wir stellen zwei davon kurz vor: hCaptcha und Friendly Captcha.
hCaptcha
Eine mittlerweile etablierte Lösung für die Spam-Abwehr an Formularen bietet das Unternehmen Intuition Machines mit Sitz in den USA an: hCaptcha. Mit Blick auf Datenschutz, UX, Barrierefreiheit und Preismodell ist hCaptcha sowohl für kleinere als auch für größere Websites und Onlineshops mit Googles reCAPTCHA absolut konkurrenzfähig.
hCaptcha und Datenschutz
Um es gleich vorwegzunehmen: Datenschutzrechtlich ist hCaptcha zwar weniger schlimm als Google reCAPTCHA – aber dennoch nicht unproblematisch. Wenn eine Seite mit einem durch hCaptcha abgesicherten Formular geladen wird, werden noch keine Cookies gesetzt und Daten übertragen. Aber nach dem Klick auf „Ich bin ein Mensch“ wird ein Cookie gespeichert und es werden Daten übertragen, die Rückschlüsse auf die Person zulassen. Das lässt sich in der Datenschutzerklärung als berechtigtes Interesse begründen. Zudem kommuniziert der Hersteller deutlich transparenter als Google, welche Daten in welcher Form zu welchen Zwecken verarbeitet werden. So gesehen ist hCaptcha mit der DSGVO in Einklang zu bringen. Mit der Opt-in-Pflicht für Cookies nach TTDSG vor der Verwendung des Dienstes wird es dann schon kniffliger. Und da es sich um ein US-Unternehmen handelt, bleibt nicht zuletzt die Sicherheit der Daten im Licht des Schrems-II-Urteils ein Problem: Intuition Machines kann nicht sicherstellen, dass andere Akteure – US-Geheimdienste – keinen Zugriff auf die personenbezogenen Daten von EU-Bürgern auf ihren Systemen haben.
Barrierefreiheit und User Experience mit hCaptcha
Ähnlich wie Google reCAPTCHA lässt sich auch hCaptcha barrierefrei betreiben – allerdings nur in der kostenlosen Version. Laut Hersteller lässt sich die Unterscheidung von Mensch en und Bots mithilfe von hCaptcha in 99,9 Prozent der Fälle voll automatisiert im Hintergrund durchführen. Wenn für diesen „passiven Modus“ der Auswertung nicht genug Daten vorhanden sind oder die kostenfreie Variante genutzt wird, läuft hCaptcha im „aktiven Modus“, was bedeutet, das die Besucher der Seite Aufgaben nach dem Muster „Markieren Sie alle Bilder, die XY zeigen“ lösen müssen.
Es ist kein Geheimnis mehr, dass die Nutzer beim Lösen solcher Aufgaben im Hintergrund nebenbei eine KI mit Daten zum Lernen füttern. Für Menschen mit eingeschränkter Sehkraft stellt hCaptcha dabei eine ähnlich schwerwiegende Barriere dar wie die altbekannten und unbeliebten, schwer lesbaren Zeichenketten. Und wie negativ diese Bildauswahl-Aufgaben sich auf die User Experience auswirken, wissen alle aus eigener Erfahrung.
Das hCaptcha Preismodell
Egal wie groß ein Shop oder eine Website ist: hCaptcha kann vollständig kostenfrei eingesetzt werden. Das funktioniert aber eben nur im aktiven Modus mit den nervigen und manchmal auch recht kniffligen Bilderrätseln. Wer die reibungslose Ein-Klick-Variante nutzen möchte, hat zwei kostenpflichtige Varianten zur Auswahl: Pro oder Enterprise. Mit diesen Paketen findet die Mensch-Maschine-Erkennung voll automatisiert im Hintergrund statt und es gibt noch weitere praktische Features. Für die ersten 100.000 Auswertungen im Monat kostet das 99 Dollar bei jährlicher und 139 bei monatlicher Zahlung. Für weitere 1.000 Auswertungen werden jeweils 99 Cent in Rechnung gestellt. Für Enterprise-Kunden gilt natürlich: Preis auf Anfrage.
Friendly Captcha
Eine weitere Alternative zu Google reCAPTCHA ist das von Interlink, einem Anbieter mit Sitz in Deutschland, in Europa entwickelte Friendly Captcha. Im Hinblick auf Datenschutz, Barrierefreiheit und die UX hat Friendly Captcha klar die Nase vorn. Für den Einsatz im gewerblichen Bereich ist es jedoch kostenpflichtig – in Abhängigkeit von der Anzahl der monatlich abgesendeten Formulare.
Friendly Captcha und Datenschutz
Da beim Einsatz von Friendly Captcha die wenigen übertragenen personenbezogenen Daten zu keinem Zeitpunkt die Europäische Union verlassen, lässt sich der Dienst vollständig im Einklang mit der DSGVO und dem Schrems-II-Urteil betreiben. Und da es auch völlig ohne Cookies auskommt, darf es nach TTDSG sogar ohne entsprechenden Cookie-Opt-in eingesetzt werden. Datenschutzrechtlich ist Friendly Captcha damit die einzige rundum saubere Lösung.
Barrierefreiheit und User Experience mit Friendly Captcha
Wenn Formulare durch Friendly Captcha abgesichert sind, muss kein Mensch vor dem Absenden manuell eine Aufgabe lösen. Die Mensch-Maschine-Unterscheidung findet vollautomatisiert im Hintergrund statt.
Binnen weniger Sekunden wird dazu ein kryptographisches Rätsel gelöst, während der Nutzer mit einem anderen Teil der Seite interagiert. Und das funktioniert ohne Ausnahmen, in denen dann doch wieder von Hand ein Rätsel gelöst werden müsste. Auch in Sachen UX und Barrierefreiheit lässt Friendly Captcha als reine Ein-Klick-Lösung die Konkurrenz alt aussehen.
Das Friendly Captcha Preismodell
Die datenschutzrechtlich unbedenkliche, vollständig barrierefreie und nutzerfreundliche Lösung Friendly Captcha steht nur für kleine, nicht kommerzielle Websites kostenfrei zur Verfügung. Für alle anderen gibt es mehrere Preismodelle, die nach der Anzahl der Websites, auf denen der Dienst zum Einsatz kommt, und der monatlichen Anfragen gestaffelt sind. Für einen einzigen Shop mit bis zu 1.000 Anfragen im Monat ist Friendly Captcha schon für 9 Euro im Monat zu haben. Für fünf Shops beziehungsweise Websites mit 5.000 Anfragen sind es 39 Euro, für 50 mit 50.000 sind es 200 Euro im Monat – und für Enterprise-Kunden gibt es Preise auf Anfrage.
Fazit: Unsere Empfehlungen für Shopbetreiber
Shopbetreibern mit Sitz in der Europäischen Union empfehlen wir ganz klar Friendly Captcha zum Schutz ihrer Formulare vor Spam. Mit dieser – und nur mit dieser – Lösung lassen sich Bots im Einklang mit DSGVO, TTDSG und Schrems-II wirksam ausschließen – und zwar ohne dabei auf der anderen Seite den Menschen auf die Nerven zu gehen. Diesen hervorragenden Service gibt es zwar nicht kostenlos, aber durch das mehrstufige und faire Preismodell ist Friendly Captcha vom kleinen Shop bis zum großen Player einsetzbar.